Estudo revela tempo médio e ainda destaca ataques comuns
A maioria das empresas tem descoberto as invasões de seus sistemas internamente. É o que revela o M-Trends 2018, relatório produzido anualmente pela Mandiant, companhia pertencente à FireEye, empresa de segurança guiada por inteligência. O relatório reúne as previsões e tendências em ciberataques observadas em todas as regiões globais ao longo do ano anterior.
O tempo de detecção interna caiu de 80 dias, em 2016, para 57,5 dias, em 2017, e 62% dos incidentes foram detectados pelos times internos, 9% a mais do que os registrados no relatório anterior.
Entretanto, o tempo médio de exposição saltou de 99 para 101 dias, de 2016 para 2017. Isso significa que as organizações levaram mais tempo para tomar conhecimento da violação de suas informações. Uma das explicações dos pesquisadores e especialistas são os entraves políticos e de legislação.
Na região EMEA, por exemplo, este período saltou de 106 para 175 dias, uma alteração significativa ainda mais considerando o continente europeu, onde o GDPR entrará em vigor a partir de 25 de maio. Já na Ásia, este número cresceu 289% – de 172 dias para 498 dias. Por outro lado, As Américas melhoraram no quesito – são 75,5 dias contra os 99, em 2016.
Assim como em 2016, o setor financeiro permaneceu como o mais visado em 2017, com 20% das violações. A região onde as organizações financeiras registraram maior incidência dos ataques foi a Ásia-Pacífico (APAC), com 39%, seguida de Europa, Oriente Médio e África (EMEA), com 24%, e as Américas, com 17%.
Os ataques à área de negócios e serviços disparou globalmente, subindo de 9%, em 2016, para 16% neste ano. Além dos dois setores mais visados, os grupos ao redor de todo o mundo destinaram os ataques a organizações das áreas de: mídia e entretenimento (10%); governo e saúde (9%); varejo e turismo (8%); energia (5%); e os demais setores (15%).
Especificamente nas Américas, as indústrias mais visadas foram negócios e serviços (18%); área financeira (17%); e saúde (12%). A região registrou a menor quantidade de ataques sobre o segmento mais visado mundialmente, o financeiro.
Outro destaque desta edição são os grupos APT, especializados em ataques avançados de ameaça persistente, conforme sua nomenclatura. Os cibercriminosos, em suma parte, são patrocinados pelos Estados e seus objetivos prolongam-se por meses ou anos. Nesta modalidade, os ataques se dão por meio de inúmeras táticas, incluindo tentativas de obter acesso ao sistema da vítima.
Para afirmar que um grupo é da categoria APT, os pesquisadores os consideram como TEMP e observam as suas ações até obterem as respostas concretas sobre: qual é a nação patrocinadora; quais são as táticas, técnicas e procedimentos (TTPs) utilizadas; qual o perfil dos alvos; e, por fim, quais as motivações dos ataques.
Em 2017, quatro novos grupos de ciberatacantes passaram a ser classificados como APTs: APT32 (OceanLotus), APT33, APT 34 e APT35 (Newscaster Team). O primeiro, observado desde 2014, está ligado às questões do Vietnã e representa uma ameaça para empresas que tem negócios ou que se preparam para investir no país. Embora a motivação específica ainda não seja conhecida, cogita-se que a competitividade entre as organizações locais pode ser uma das justificativas.
O APT33 realiza operações de ciberespionagem desde 2013 e é, presumivelmente, um colaborador ativo do governo iraniano. Visa organizações provenientes de várias indústrias, com foco especial para a coleta de informações das indústrias militar, aeroespacial e petroquímica. Seus principais alvos são os Estados Unidos, a Arábia Saudita e Coréia do Sul.
Também alinhado aos interesses estratégicos do Irã, mas com início das operações no ano seguinte, em 2014, o APT34 tem ações focadas no Oriente Médio. O grupo visa principalmente os segmentos de finanças, energia, química, telecomunicações, além de governos. Com o uso de ferramentas públicas e privadas, o grupo utiliza contas comprometidas aplicando spear phising, como foi o caso das vulnerabilidades no Microsoft Office em novembro de 2017, identificado pelos pesquisadores da FireEye.
Observado desde 2014, o APT35 também é patrocinado pelo governo iraniano e realiza operações de longo prazo, com recursos intensivos, para coletar inteligência estratégica. Seu foco está nos Estados Unidos e no Oriente Médio, principalmente nas áreas ligadas à diplomacia e governo; às organizações de mídia; à energia; base industrial de defesa; engenharia; e aos serviços empresariais e de telecomunicações.
Estas atividades evidenciam a perspectiva ofensiva adquirida pelo Irã ao longo de 2017. De acordo com a observação dos especialistas da Mandiant, houve um aumento significativo no número de ataques cibernéticos, especialmente os destrutivos, atingindo quase todos os setores da indústria e estendendo-se para além dos conflitos regionais do Oriente Médio.
É notória a maior conscientização das organizações em relação à segurança cibernética, tanto que os especialistas registraram queda no tempo de descoberta de invasões pelas equipes internas.
Entretanto, as organizações estão cada vez mais sendo redirecionadas pelos ciberatacantes: 49% dos clientes – com pelo menos uma descoberta de alta prioridade – foram atacados com sucesso novamente dentro de um ano. Em 86% das vezes, as organizações que tiveram mais de uma descoberta de alta prioridade também tiveram mais de um invasor exclusivo dentro de seus ambientes. Isso levanta outra primordial questão: a falta de profissionais especializados no mercado.
Para que as organizações tenham uma estrutura interna de segurança realmente qualificada, é preciso combinar profissionais capacitados com tecnologias de ponta e adoção de práticas e serviços que enfrentem os desafios de identificar e combater os grupos de ciberatacantes cada vez mais sofisticados.
Dentre as tendências duradouras nos fundamentos de segurança, destacam-se: gerenciamento de risco, gestão de identidade e acesso, proteção de dados, resposta a incidentes, proteção central de rede, nuvem e Endpoint. Além da contribuição para a melhoria da consciência, conhecimento e capacidades de segurança coletiva.
Este preparo visa não somente proteger, como possibilita que as equipes estejam aptas a responderem os incidentes quando acontecerem. Afinal, não se trata mais de “se” as organizações serão atacadas; mas sim de “quando” elas serão atacadas.
